Обложка I 7 Table of Contents 9 Обложка IV

СОВРЕМЕННАЯ ЭЛЕКТРОНИКА №9/2013

СОВРЕМЕННЫЕ ТЕХНОЛОГИИ 8 WWW.SOEL.RU СОВРЕМЕННАЯ ЭЛЕКТРОНИКА ◆ № 9 2013 Позиция специалиста получен реальный выход годных МБИС около 10–12%. Этот рекорд удивил даже специалистов Ангстрема – консультан- тов коррекций, но потребовал неболь- ших корректировок ФЛП. У «заказных» микросхемФЛП и ТП проектируют вме- сте, и коррекции ТП не нужны. П РЕИМУЩЕСТВА АППАРАТНЫХ АЛГОРИТМОВ НА ДВОИЧНЫХ РЕГИСТРАХ СДВИГА В теории информации и электрони- ке давно доказано, что наиболее про- стые вычисления и в криптографии, и в помехоустойчивом кодировании осуществляют «автоматы», содержа- щие двоичные регистры сдвига (РС) с короткими трассами. Математиче- ское описание обратных связей авто- мата дают генераторные полиномы (ГП). Если ГП реализуют только сумма- торы по модулю 2 (XOR), то автомат – «линейный» (LFSR), при других свя- зях – автомат «нелинейный» (NLFSR). В автоматах на двоичных РС [3, 4, 9–14] вычисления значительно проще сум- мирований и умножений многораз- рядных чисел по модулю, которые расходуют много энергии в длинных трассах при перемешивании масси- вов в нескольких циклах обработки (раундах). Критика таких шифрато- ров, включая стандарты AES (США) и ARIA (Ю. Корея) дана в [10]. Эти шифраторы требуют около 100 тыс. УВ и потребляют в 30–100 раз боль- ше энергии на бит информации, чем ГСЧ-АКШ [9], и соответственно, менее надёжны. По заказу Минобороны СССР (в.ч. 11232) для защиты непрерывно работающих войсковых радиостан- ций (ВРС) от средств радиоборьбы (СРБ) был разработан ГСЧ [9]. Необ- ходимость разработки заказчик обо- сновал большим энергопотреблени- ем и низкой надёжностью шифрато- ра ГОСТ-28147-89. Параметры автоматов ГСЧ с общей длиной 256 бит приведены в таблице. Кроссинговер Cr1 = 1 переносит сек- цию «20» из А8 в А9, а секцию «28» – из А9 в А8. Кроссинговер Cr2 = 1 перено- сит секцию «17» из А10 в А11, а секцию «30» – из А11 в А10. Автоматы А1 и А2 управляют нерав- номерной синхронизацией и реверсом в А3–А5. Автоматы А3–А7 управляют кроссинговером и реверсом в А8–А11. Автоматы А12 и А13 собирают неавто- номными входами сигналы от автома- тов А1–А11. Реверс R и кроссинговер Cr изменя- ют содержимое (ключ) и аппаратную структуру автоматов. Кроссинговер Cr использует четыре трассы и четы- ре УВ, а R – две трассы и четыре УВ. Все цепи рандомизации используют мень- ше 70 УВ, а два ГСЧ на МБИС – около 2,8 тыс. УВ. Энергопотребление ГСЧ все- го 0,015 мкДж/бит. Малое энергопотре- бление (около 0,01 от ГОСТ) указывает на высокую надёжность ГСЧ-АКШ. Это особенно ценно для датчиков техниче- ских средств охраны (ТСО) и для ради- останций войсковых и охранных сетей. При переходе от проектной нормыПН 5 мкм к новой ПН 0,25 мкм, уже освоен- ной в Зеленограде, потребление ГСЧ- АКШбудет уменьшено ещё – более чем в 10 раз. Криптоаналитиков НИИ Минобо- роны и КГБ СССР обрадовали малые ресурсы топологии и УВ, обеспечившие абсолютную криптостойкость и высо- кую надёжность ГСЧ [9] благодаря крос- синговеру. Остальные средства рандо- мизации ГСЧ (реверс, неравномерное движение автоматов, неавтономные воздействия и др.) они сочли излиш- ними. Но заменить ГОСТ-28147-89 этим ГСЧ они не могли, указав на сложность программной реализации кроссинго- вера в средствах, использующих ГОСТ. Они надеялись для нового ГОСТ найти за 2–3 года программно простые алго- ритмы без кроссинговера. Р АЗРАБОТКИ ПРОСТЫХ В ПРОГРАММНОЙ И АППАРАТНОЙ РЕАЛИЗАЦИИ АКШ Для разработки абсолютно крипто- стойких шифраторов без кроссингове- ра, простых не только при аппаратной, но и при программной реализации, потребовалось более 10 лет [11–14]. Исследования выполняли для ТСО совместно СНПО «Элерон» Росатома и ООО «Альтоника». Они опирались на идеиШеннона, доказавшего, что абсо- лютную криптостойкость обеспечи- вают последовательности случайных чисел (ПСЧ) шифрблокнота при одно- кратном использовании его «страниц». В этих ГСЧ для создания действительно случайных ПСЧ – true random number sequence – случайно, как и в ГСЧ [9], но без кроссинговера изменяли нестацио- нарные генераторные полиномы (ГП) и содержимое РС (ключ). В книгах по криптографии нет пред- ложений по АКШи описаний шифрато- ров, реализуемых на базе современной электроники. Стандартышифраторов мобильной радиосвязи, разработанные криптографами США (ORIX) и Евро- пы (GSM-A5), были вскрыты через год после публикации, и появились бес- платные программы прослушивания секретных переговоров. Были вскрыты и многие другие рекламируемые шиф- раторы [8]. В [11] были выбраны алго- ритмы на двоичных РС с нелинейны- ми и нестационарными ГП-функциями обратной связи (NLFSR + Random FSR). Исследования показали преимущества ГП на РС длиной 8 бит с простейшей нелинейностью на двухвходовых эле- ментах «И» и «ИЛИ». У более длинных РС меньше количество автоматов при избыточном количестве ГП. Для РС короче 8 бит хороших ГП очень мало. Большинство нестационарных ГП с двумя состояниями создают короткие циклы, усложняющие выбор ключей. Таблица. Параметры автоматов ГСЧ с общей длиной 256 бит Номер автомата Длина РС автомата Параметры* Номера управляемых автоматов, выбранных с учётом снижения длины трасс ТП А1 4 NA, NL 2– 4, 8–10, 12 А2 8 NA, L 3–9, 11 А3 9 A, L, R1 6, 7, 9 А4 7 A, L, R2 6, 7, 10 А5 6 A, L, R3 6, 11 А6 3 A, NL 8, 9, 12 А7 5 A, NL 9, 10, 12 А8 25 + 20 Cr1, NA, L, R 13 А9 31 + 28 Cr1, NA, L, R 13 А10 15 + 17 Cr2, NA, L 13 А11 34 + 30 Cr2, NA, L, R 13 А12 4 NA 13 А13 10 NA, L, R Выход Примечания: А – автономный автомат, NA – неавтономный, L – линейный, NL – нелинейный; Cr – «кроссинговер» – новый термин, обозначающий обмен секциями РС автоматов; R – реверс ГП, осуществляемый «зеркальным» изменением ГП-автомата © СТА-ПРЕСС

RkJQdWJsaXNoZXIy MTQ4NjUy